Les principales attaques d un réseau informatique

Transcription

1 Les principales attaques d un réseau informatique par Pierre SALAVERA Service Technique ACTN «Après la trêve estivale, nous sommes de retour pour un nouveau sujet de la rubrique «Le Coin du Tech»! Et aujourd hui nous allons traiter de sécurité, étant donné que la marque de la semaine y est totalement dédiée. En préambule, je citerais Edsger Dijkstra1 qui a dit «La science informatique n'est pas plus la science des ordinateurs que l'astronomie n'est celle des télescopes». En effet, notre rôle en tant qu informaticien est de distribuer de l information de manière automatique en assurant son stockage, son transport, sa sécurité et son intégrité. Et ce sont ces deux derniers points que nous allons aborder (partiellement, car le domaine est très vaste) dans cet article consacré aux concepts de sécurité informatique.» 1 Edsger Wybe Dijkstra, né à Rotterdam le 11 mai 1930, et mort à Nuenen le 6 août 2002 est un mathématicien et informaticien néerlandais du XXe siècle. ACTN Pierre SALAVERA Support Technique - Audiotel: (0.34, /min.) 1

2 1. Qu est-ce qu un «Hacker»? Tout d abord il convient de présenter de manière succincte ce qu est un «hacker». Il existe plusieurs types de «hackers» mais nous pouvons distinguer deux catégories : - Les «Script Kiddies» (ou «crashers» ou «lamers» ou «packet monkeys» c est au choix!) : Cette catégorie regroupe ceux que l on qualifiera de débutants, récupérant généralement leurs outils d attaques sur Internet, ils ne sont pas réputés très bon en programmation et utilise ces outils «récupérés» souvent de manière maladroite. Ils sont très souvent une quantité négligeable pour un service de sécurité un minimum compétent. Cependant, les plus motivés, assidus et doués passeront un jour dans la catégorie suivante! - Les hackers : Ils peuvent être classés selon leur spécialité, mais retenez une chose : contrairement aux premiers, ils représentent une réelle menace. Ils développent très souvent eux-mêmes leurs outils, et sont capables de repérer les failles voire de les exploiter en direct. Leurs motivations pouvant être très variées, ils en sont d autant plus dangereux. 2. Un exemple de faille Une faille est une erreur de programmation ou de conception entrainant un risque qualifié de faible à critique pour le système (selon ce que l on peut en faire). En voici une : le buffer overflow Vous avez probablement déjà tous entendu parler de cette faille et pour une bonne raison : elle fait partie des plus critiques! Mais avant de vous la détailler, il convient de faire un petit rappel du fonctionnement de la pile d exécution sur les architectures X86 (architecture 32 bits qui représente encore une énorme partie du parc informatique mondial) : Comme son nom l indique, c est une pile dont le fonctionnement est : Si je simplifie, ceci peut se résumer à : «Dernier Rentré Premier Sorti» Fin de l instruction Adresse de retour Variable ACTN Pierre SALAVERA Support Technique - Audiotel: (0.34, /min.) 2

3 De bas en haut : - Variable : variables déclarées par l instruction, c est la première chose empilée. - Adresse de retour : lorsque l instruction est terminée, il faut retourner au programme l ayant appelée afin d exécuter l instruction suivante. C est ici qu est stockée l adresse mémoire de retour. - : tampon déclaré par le programme, sa taille est fixe et défini à la déclaration. - : les arguments utilisés par la fonction. Supposons maintenant que notre fonction est faillée et permette le dépassement de tampon (pas de contrôle sur les arguments passés). Si cet argument dépasse le tampon, il ira écraser la mémoire après le tampon et c est ca que notre hacker va exploiter! Voici ce qu il va faire : Adresse programme malveillant Variable En utilisant le dépassement le tampon, il écrit au-delà afin de remplacer l adresse mémoire de retour par une adresse où est stocké son programme. Ce dernier sera donc exécuté avec les mêmes droits que ceux du programme ayant appelé la fonction!! Si ce programme avait les droits «root», votre système est intégralement compromis. 3. Un exemple d attaque Afin de vous illustrer, au mieux le processus de déroulement d une attaque, je vais commenter l attaque qui a probablement était la plus connue de l Histoire : L attaque du réseau de Tsutomu Shimomura par Kevin Mitnick. Cette attaque se base sur plusieurs principes : - le Spoofing d IP : technique consistant à usurper l adresse IP d une machine de confiance au regard de la cible. - le Vol de session TCP : technique permettant d établir une connexion avec une machine par prédiction de son numéro de séquence TCP, elle est la plus part du temps précédée par un IP Spoofing. - Le SYN Flooding : attaque ayant pour but de rendre muet une cible, c est une attaque DOS (Deny of Service). Kevin Mitnick a perpétrée cette attaque le 25 décembre 1994 (la date n a pas été choisie au hasard elle lui permit d être quasiment certain que personne ne serait connecté à la machine cible). C est le premier cas connu de cette attaque. Elle était auparavant connue en théorie mais jamais réalisée! ACTN Pierre SALAVERA Support Technique - Audiotel: (0.34, /min.) 3

4 Sous Unix, il existe une certaine commande de type rsh par exemple. Cette commande, utilisée depuis un hôte A vers un hôte B, permet de se connecter avec le même utilisateur que celui utilisé sur l hôte A sans avoir à se réauthentifier. Cependant, il y a des conditions d utilisation : - Il doit exister le même utilisateur sur les machines A et B. - La machine A doit faire parti des hôtes de confiance de la machine B. Le but de l attaque est donc d utiliser cette commande en se faisant passer pour la machine A. Elle se réalise en 3 étapes : - Il faut connaitre l adresse IP de la machine A afin de l usurper (c est la partie la plus facile à réaliser). Mitnick a obtenu l information et il lui suffisait ensuite de réécrire les paquets sortants avec la bonne IP. - Viens ensuite la partie la plus délicate : le vol de session TCP. Comme vous le savez surement, lors de l établissement d une connexion TCP, la machine cliente et la machine hôte échangent une série de paquets dans l ordre suivant : SYN,SYN/ACK,ACK ensuite la connexion est établie. Le problème est que ce processus utilise des numéros de séquences. Le premier paquet SYN envoyé par le client possède un numéro de séquence qu il définit luimême, le paquet SYN/ACT de réponse du serveur possède un numéro de séquence composé de la manière suivante N SYN/ACK = N SYN + X. X étant une valeur définie par l implémentation de la pile TCP de l hôte, il n y a pas de règle, cela peut être n importe quelle valeur. Pour que la connexion soit établie, le client doit répondre avec un paquet ACK possédant un numéro de séquence égal à N SYN/ACK +1, faute de quoi, le serveur annulera la demande de connexion par l envoi d un paquet RESET. Ceci est une attaque dite «en aveugle», afin de la réaliser, Kevin Mitnick a procédé de la manière suivante : o Il a envoyé une série de paquets SYN à B depuis un site qu il avait compromis afin d observer le comportement de sa pile TCP. o Après chaque requête, il envoya un RESET afin de ne pas saturer B, ce qui risquait de le faire repérer. o En observant les paquets SYN/ACK reçus, il déduit que X= Vient maintenant la dernière étape : Il reste un problème majeur. Nous usurpons l adresse IP de A. Si nous envoyons une requête SYN à B, le SYN/ACK sera routé vers A. Il ne faut absolument pas qu il réponde, faute de quoi, n ayant pas demandé la connexion, il enverra un paquet RESET à B et l attaque sera un échec! C est ici qu entre en scène la technique de SYN Flooding. Elle est très simple : lorsque vous initiez une connexion TCP mais que votre machine n envoie pas de paquet d acquittement (ACK), la connexion reste semi-ouverte pendant un certain laps de temps sur le serveur. Si ce cas se présente ACTN Pierre SALAVERA Support Technique - Audiotel: (0.34, /min.) 4

5 un trop grand nombre de fois rapidement (plus rapidement que le timeout), elles finissent par saturer le serveur qui ne peut plus répondre pendant un certain laps de temps. Afin de rendre A «muet», Kevin Mitnick a inondé la machine A de paquets SYN 14 secondes avant l attaque, ce qui la met dans l incapacité totale de répondre aux paquets en provenance de qui que ce soit (et donc de B). Pour terminer, après avoir «inondé» A, il envoie un paquet SYN à B. B répond vers A qui ne peut prendre en compte le paquet, Kevin Mitnick a alors envoyé le paquet ACK selon ses constatations du point numéro 2 (sans avoir reçu le SYN/ACK, d où la nécessité de l étape numéro 2). Il obtint alors une connexion à B et, bien entendu, le compte qu il utilisa était «root»!!!! Conclusion «Vous l aurez compris, cet article n a qu un but de sensibilisation. Sachez qu il existe des dizaines de failles différentes ainsi que des dizaines de façons de les exploiter et/ou de les combiner!! Soyez donc vigilant et ne négligez pas la sécurité de votre réseau. Seul l emploi d un UTM (tel que ceux commercialisés par la marque de la semaine) correctement paramétré permet de garantir une sécurité optimale. A bientôt pour un nouveau sujet dans cette rubrique «Le Coin du Tech»!» Pierre SALAVERA Service Technique ACTN Audiotel : (0.34, /min.) ACTN Pierre SALAVERA Support Technique - Audiotel: (0.34, /min.) 5